美国国土安全部“黑客DHS”漏洞赏金计划：已发现122个安全漏洞

4月25日消息，美国国土安全部(DHS)透露，在“黑客DHS”漏洞赏金计划中注册的漏洞赏金猎人已经在DHS外部系统中发现了122个安全漏洞，其中有27个被评为严重级别。“黑客DHS”计划要求黑客公开他们的发现信息包括漏洞的详细信息，漏洞如何被利用，以及漏洞如何被用来访问DHS系统。

据了解，目前DHS向450多名经过审查的安全研究人员和道德黑客共奖励了125,600美元，每个错误的奖励高达5,000美元，具体取决于漏洞的严重程度。

国土安全部首席信息官Eric Hysen表示：“安全研究人员社区在Hack DHS第一阶段的热情参与使我们能够在关键漏洞被利用之前发现并修复它们”。

“黑客DHS”漏洞赏金计划的建立是借鉴了美国联邦政府和私营部门类似成果的经验，比如“黑掉五角大楼”（Hack the Pentagon）项目。

“黑客DHS”漏洞赏金计划

据悉，美国国土安全部(DHS)第一次推出漏洞赏金计划项目是在2019年，这比“黑客DHS”还要早两年。当时，《安全技术法案》（SECURE Technology Act）正式签署成为法律，要求政府组织建立安全漏洞披露政策和赏金项目。

目的为其他政府组织树立榜样

“黑客DHS”漏洞赏金项目成立于2021年12月。该计划要求黑客公开他们的发现信息包括漏洞的详细信息，漏洞如何被利用，以及漏洞如何被用来访问DHS系统的数据。

所有报告的安全漏洞将在48小时内由国土安全部安全专家进行验证，并在15天内（有时需要更长时间）完成内修复，具体时间取决于漏洞的复杂性。

在“黑客DHS”项目启动一周后，国土安全部扩大了赏金的范围，允许研究人员追踪受Log4j相关漏洞影响的国土安全部系统。此前，美国网络安全和基础设施安全局（CISA）发布了一项紧急指令，要求联邦民事行政部门在12月23日前为自身的系统打补丁，以应对严重的Log4Shell漏洞。

对此，国土安全部部长Alejandro N.Mayorkas表示:“包括国土安全部等联邦机构在内的各规模各部门的组织都应该保持警惕并采取措施加强其网络安全。而‘Hack DHS’项目正是兑现了我们部门以身作则，保护国家网络和基础设施免受威胁的承诺。”